AP本地认证典型配置举例(V5)

资料版本：6W114-20210416

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 配置注意事项

3.4 配置步骤

3.4.1 配置AC

3.4.2 Router A的配置

3.4.3 Router B的配置

3.4.4 RADIUS服务器的配置

3.5 验证配置

3.6 配置文件

4 相关资料

1  简介

本文档介绍AP本地认证典型配置举例。

2  配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN接入特性。

3  配置举例

3.1  组网需求

如图1所示，某公司将AC部署在总部实现对分支机构无线网络的统一管理，总部通过VPN与分支机构跨公网进行业务互通，分支机构本地使用AP作为认证实体对客户端进行认证，该公司拥有两个公网地址，其中202.38.0.1分给总部，202.38.0.2分给分支机构，具体要求如下：

·     无论AP和AC正常连接或是连接出现故障时，都使用Local认证模式对分支机构的客户端进行802.1X认证。

·     将认证服务器部署在AP侧，保证分支机构和总部之间的网络通信出现故障时，已接入的802.1X客户端不会下线，可以继续访问本地资源。

·     由分支机构的网关Router B作为DHCP server为AP和Client分配IP地址。

图1 AP本地认证组网图

3.2  配置思路

·     在本地PC上编辑AP配置文件，并保存为txt文档格式，上传到AC的存储器上，AC与AP建立LWAPP隧道正常连接之后，会将AP配置文件下发到AP。

·     由于总部与分支机构跨公网进行通信，因此需要在总部和分支机构的网关路由器分别配置NAT功能，实现公网地址与私网地址的转换。

·     在RADIUS server上配置AP为接入认证设备。

3.3  配置注意事项

·     配置AP的序列号时请确保该序列号与AP唯一对应，AP的序列号可以通过AP设备背面的标签获取。

·     本地认证功能是Remote AP功能的增强，所以要本地认证功能生效，必须要保证Remote AP已经开启。

·     编辑AP配置文件时需注意，如果文件的某个命令行后面有Tab键，或者大量空格时，就会出现该行配置无法生效的情况。

3.4  配置步骤

3.4.1  配置AC

(1)     使用文本文档编辑AP的配置文件，将配置文件命名为map.txt，并将配置文件上传到AC存储介质上。配置文件内容和格式如下：

port-security enable

vlan 200

interface GigabitEthernet1/0/1

port link-type hybrid

port hybrid vlan 200 tagged

port hybrid vlan 1 untagged

dot1x authentication-method eap

radius scheme imc

primary authentication 192.168.1.100

primary accounting 192.168.1.100

key authentication simple 123456

key accounting simple 123456

user-name-format without-domain

domain system

authentication default radius-scheme imc

authorization default radius-scheme imc

accounting default radius-scheme imc

(2)     配置AC的接口

# 创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的IP地址与AP建立LWAPP隧道。

<AC> system-view

[AC] vlan 100

[AC-vlan100] quit

[AC] interface vlan-interface 100

[AC-Vlan-interface100] ip address 182.100.1.100 16

[AC-Vlan-interface100] quit

# 创建VLAN 200作为WLAN-ESS接口的缺省VLAN，同时作为Client接入的业务VLAN，并为该接口配置IP地址。

[AC] vlan 200

[AC-vlan200] quit

[AC] interface vlan-interface 200

[AC-Vlan-interface200] ip address 182.200.1.100 16

[AC-Vlan-interface200] quit

(3)     配置无线服务和认证

# 创建WLAN-ESS接口1，并进入该接口视图。

[AC] interface wlan-ess 1

# 在WLAN-ESS接口1上配置802.1X用户的强制认证域system，注意这里的强制认证域必须和AP配置文件中创建的ISP域保持一致。

[AC-WLAN-ESS1] dot1x mandatory-domain system

# 配置端口安全模式为userlogin-secure-ext，并使能端口11key类型的密钥协商功能。

[AC-WLAN-ESS1] port-security port-mode userlogin-secure-ext

[AC-WLAN-ESS1] port-security tx-key-type 11key

# 关闭802.1X多播触发功能和在线用户握手功能。

[AC-WLAN-ESS1] undo dot1x multicast-trigger

[AC-WLAN-ESS1] undo dot1x handshake

# 配置端口的链路类型为Hybrid。

[AC-WLAN-ESS1] port link-type hybrid

# 配置当前Hybrid端口的PVID为200，禁止VLAN 1通过并允许VLAN 200不带tag通过。

[AC-WLAN-ESS1] port hybrid pvid vlan 200

[AC-WLAN-ESS1] undo port hybrid vlan 1

[AC-WLAN-ESS1] port hybrid vlan 200 untagged

# 使能接口的MAC VLAN功能。

[AC-WLAN-ESS1] mac-vlan enable

[AC-WLAN-ESS1] quit

# 创建服务模板1（加密类型服务模板），配置SSID为local1x，加密方式为AES-CCMP。

[AC] wlan service-template 1 crypto

[AC-wlan-st-1] ssid local1x

[AC-wlan-st-1] bind WLAN-ESS 1

[AC-wlan-st-1] cipher-suite ccmp

[AC-wlan-st-1] security-ie rsn

# 配置使用Local认证模式。

[AC-wlan-st-1] authentication-mode local

[AC-wlan-st-1] service-template enable

[AC-wlan-st-1] quit

# 创建型号为WA2620E-AGN的AP模板名为ap1，指定其序列号为21023529G007C000020。

[AC] wlan ap ap1 model WA2620E-AGN

[AC-wlan-ap-ap1] serial-id 21023529G007C000020

# 开启Remote AP功能。

[AC-wlan-ap-ap1] hybrid-remote-ap enable

# 将配置文件map.txt绑定到ap1。

[AC-wlan-ap-ap1] map-configuration map.txt

# 将服务模板1绑定到AP 1的radio 2口。

[AC-wlan-ap-ap1] radio 2 type dot11gn

[AC-wlan-ap-ap1-radio-2] service-template 1

[AC-wlan-ap-ap1-radio-2] radio enable

[AC-wlan-ap-ap1-radio-2] quit

[AC-wlan-ap-ap1] quit

3.4.2  Router A的配置

(1)     配置Router A接口

<RouterA> system-view

[RouterA] interface gigabitethernet 0/1

[RouterA-GigabitEthernet0/1] ip address 182.100.1.1 24

[RouterA-GigabitEthernet0/1] quit

[RouterA] interface gigabitethernet 0/2

[RouterA-GigabitEthernet0/2] ip address 202.38.0.1 24

[RouterA-GigabitEthernet0/2] quit

(2)     配置NAT功能

# 配置一对一静态地址转换映射。

[RouterA] nat static 182.100.1.1 202.38.0.1

# 配置的静态地址转换在接口GigabitEthernet0/2上生效。

[RouterA] interface gigabitethernet 0/2

[RouterA-GigabitEthernet0/2] nat outbound static

[RouterA-GigabitEthernet0/2] quit

3.4.3  Router B的配置

(1)     配置Router B的接口

<RouterB> system-view

[RouterB] interface gigabitethernet 0/1

[RouterB-GigabitEthernet0/1] ip address 192.168.1.1 24

[RouterB-GigabitEthernet0/1] quit

[RouterB] interface gigabitethernet 0/2

[RouterB-GigabitEthernet0/2] ip address 202.38.0.2 24

[RouterB-GigabitEthernet0/2] quit

(2)     配置DHCP服务器

# 使能DHCP功能

[RouterB] dhcp enable

# 创建名为vlan100的DHCP地址池，配置地址池动态分配的网段为192.168.1.0/24，网关地址为192.168.1.1，为AP和CLient分配IP地址。

[RouterB] dhcp server ip-pool vlan100 extended

[RouterB-dhcp-pool-vlan100] network 192.168.1.0 mask 255.255.255.0

[RouterB-dhcp-pool-vlan100] gateway-list 192.168.1.1

[RouterB-dhcp-pool-vlan100] quit

(3)     配置NAT功能

# 配置ACL 2000，仅允许对192.168.1.0/24网段的用户报文进行地址转换。

[RouterB] acl number 2000

[RouterB-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[RouterB-acl-basic-2000] quit

# 创建地址组1。

[RouterB] nat address-group 1

# 添加地址组成员202.38.0.2。

[RouterB-nat-address-group-1] address 202.38.0.2 202.38.0.2

[RouterB-nat-address-group-1] quit

# 在接口GigabitEthernet0/2上配置入方向动态地址转换，允许使用地址组1中的地址对内网访问外网的报文进行源地址转换，并在转换过程中使用端口信息。

[RouterB] interface gigabitethernet 0/2

[RouterB-GigabitEthernet0/2] nat inbound 2000 address-group 1

# 在接口GigabitEthernet0/2上配置出方向动态地址转换，允许使用地址组1中的地址对内网访问外网的报文进行源地址转换，并在转换过程中使用端口信息。

[RouterB-GigabitEthernet0/2] nat outbound 2000 address-group 1

[RouterB-GigabitEthernet0/2] quit

3.4.4  RADIUS服务器的配置

# 增加接入设备。

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入“接入设备配置”页面，在该页面中单击<增加>按钮，进入“增加接入设备”页面。

·     设置与AP交互报文时使用的认证、计费共享密钥为“123456”；

·     设置认证及计费的端口号分别为“1812”和“1813”；

·     选择业务类型为“LAN接入业务”；

·     选择接入设备类型为“H3C”；

·     在设备列表中，单击<手工增加>按钮，添加接入设备AP的IP地址为192.168.1.2（可以在AC上通过display wlan ap address命令查看）；

·     其它参数采用缺省值，并单击<确定>按钮完成操作。

图2 增加接入设备

#增加接入策略。

选择“用户”页签，单击导航树中的[接入策略管理/接入策略管理]菜单项，进入“接入策略配置”页面，在该页面中单击<增加>按钮，进入“增加接入策略”页面。

·     输入接入策略名“dot1x auth”；

·     业务分组“未分组”；

·     证书认证选择所需要认证的类型；

·     其它参数采用缺省值，并单击<确定>按钮完成操作。

图3 增加接入策略

# 增加接入服务配置。

选择“用户”页签，单击导航树中的[接入策略管理/接入服务管理]菜单项，进入“接入服务配置”页面，在该页面中单击<增加>按钮，进入“增加接入服务”页面。

·     输入服务名“dot1x auth”；

·     业务分组“未分组”；

·     缺省接入策略“dot1x auth”；

·     其它参数采用缺省值，并单击<确定>按钮完成操作。

图4 增加接入服务

# 增加接入用户。

选择“用户”页签，单击导航树中的[接入用户管理/接入用户]菜单项，进入“接入用户列表”页面，在该页面中单击<增加>按钮，进入“增加接入用户”页面。

·     在增加接入用户页面，单击<增加用户>按钮弹出增加用户窗口；

·     输入用户名“admin”；

·     输入证件号码“12345”；

·     单击<检查是否可用>按钮；

·     如用户姓名和证件号码可用，单击<确定>按钮完成操作。

图5 增加用户

·     输入账号名“localuser”；

·     输入密码“123456”；

·     在接入服务处选择“dot1x auth”；

·     其他配置保持默认；

·     单击<确定>按钮完成操作。

图6 增加接入用户

3.5  验证配置

·     无论AP和AC正常连接或是连接出现故障时，都使用Local认证模式对分支机构的客户端进行远程802.1X认证。当AP和AC正常连接，在AC上使用命令display wlan client verbose，显示信息中authentication-mode字段显示Local，表示由AP作为认证实体对该客户端进行认证。

[AC] display wlan client verbose

 Total Number of Clients           : 1

                              Client Information

--------------------------------------------------------------------------------

 MAC Address                       : 2477-0341-da70

 User Name                         : localuser

 IP Address                        : 182.200.0.2

 AID                               : 1

 AP Name                           : ap1

 Radio Id                          : 2

 Antenna Id                        : 0

 Service Template Number           : 1

 SSID                              : local1x

 BSSID                             : d4c9-efe4-e330

 Port                              : WLAN-DBSS1:0

 VLAN                              : 200

 State                             : Running

 Power Save Mode                   : Active

 Wireless Mode                     : 11gn

 Channel Band-width                : 20MHz

 SM Power Save Enable              : Disabled

 Short GI for 20MHz                : Supported

 Short GI for 40MHz                : Not Supported

 LDPC                              : Not Supported

 STBC TX capability                : Not Supported

 STBC RX capability                : Supported

 Support MCS Set                   : 0,1,2,3,4,5,6,7,8,9,

                                     10,11,12,13,14,15,16,17,18,19,

                                     20,21,22,23

 QoS Mode                          : WMM

 Listen Interval (Beacon Interval) : 100

 RSSI                              : 43

 Rx/Tx Rate                        : 24/195

 Client Type                       : WPA2(RSN)

 Authentication Method             : Open System

 Authentication Mode               : Local

 AKM Method                        : Dot1X

 Key Derivation                    : SHA1

 4-Way Handshake State             : PTKINITDONE

 Group Key State                   : IDLE

 Encryption Cipher                 : AES-CCMP

 PMF Status                        : -NA-

 Roam Status                       : Normal

 Roam Count                        : 0

 Up Time (hh:mm:ss)                : 00:00:50

----------------------------------------------------------------------

·     由于客户端使用AP本地认证上线，所以在AC上使用display connection命令查看客户端，不会查看到客户端信息。

[AC] display connection

 Total 0 connection(s) matched.

3.6  配置文件

·     AC：

#

 port-security enable

#

vlan 100

#

vlan 200

#

wlan service-template 1 crypto

 ssid local1x

 bind WLAN-ESS 1

 cipher-suite ccmp

 security-ie rsn

 authentication-mode local

 service-template enable

#

interface Vlan-interface1

 ip address 8.182.1.100 255.255.0.0

#

interface Vlan-interface100

 ip address 182.100.1.100 255.255.0.0

#

interface Vlan-interface200

 ip address 182.200.1.100 255.255.0.0

#

interface GigabitEthernet1/0/1

 port link-type trunk

 port trunk permit vlan all

#

interface WLAN-ESS1

 port link-type hybrid

 undo port hybrid vlan 1

 port hybrid vlan 200 untagged

 port hybrid pvid vlan 200

 mac-vlan enable

 port-security port-mode userlogin-secure-ext

 port-security tx-key-type 11key

 undo dot1x handshake

 dot1x mandatory-domain system

 undo dot1x multicast-trigger

#

wlan ap ap1 model WA2620E-AGN id 1

 map-configuration map.cfg

 serial-id 21023529G007C000020

 hybrid-remote-ap enable

 radio 1

 radio 2

  service-template 1

  radio enable

#

ip https ssl-server-policy access-policy

 ip https enable

#

·     Router A：

#

 nat static 182.100.1.1 202.38.0.1

#

interface GigabitEthernet0/1

 port link-type route

 ip address 182.100.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 port link-type route

 ip address 202.38.0.1 255.255.255.0

 nat outbound static

#

·     Router B：

#

 dhcp enable

#

dhcp server ip-pool vlan100 extended

 network 192.168.1.0 mask 255.255.255.0

 gateway-list 192.168.1.1

#

interface GigabitEthernet0/1

 port link-type route

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 port link-type route

 ip address 202.38.0.2 255.255.255.0

 nat outbound 2000 address-group 1

 nat inbound 2000 address-group 1

#

acl number 2000

 rule permit source 192.168.1.0 0.0.0.255

#

nat address-group 1

 address 202.38.0.2 202.38.0.2

#

4  相关资料

·     《H3C无线控制器产品 配置指导》中的“WLAN配置指导”。

·     《H3C无线控制器产品 命令参考》中的“WLAN命令参考”。

·     《H3C无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C无线控制器产品 命令参考》中的“安全命令参考”。

·     《H3C无线控制器产品 配置指导》中的“三层技术配置指导”。

·     《H3C无线控制器产品 命令参考》中的“三层技术命令参考”。